News - La Privacy Europea

Vai ai contenuti

Security by design: come configurare piattaforme e soluzioni mobili

La Privacy Europea
Pubblicato da in News ·
Gli strumenti hardware e software devono essere costruiti facendo attenzione alla sicurezza dell’utente: è questa l’idea alla base della security by design, che torna in primo piano con l’adozione del Regolamento europeo per la Protezione dei Dati.
di Giovanni Ziccardi Fonte: ipsoa.it
Un concetto però, quello della security by design, che diventa tanto più sofisticato quanto più si evolvono i dispositivi informatici e, soprattutto, quanto maggiore è il tempo che l’utente passa online o resta connesso a smartphone, tablet e computer. Crittografia e sistemi di autenticazione sono solo alcuni degli strumenti a tutela della security: quali gli altri?
L’idea della security by design, ossia che gli strumenti hardware e software siano costruiti con un’attenzione preminente, già dentro al codice o ai componenti, per la sicurezza dell’utente tipico, è tornata in auge di recente grazie alle recenti normative in tema di data protection, soprattutto il Regolamento Europeo per la Protezione dei Dati. Si tratta di un’evoluzione di grande importanza che consentirà una maggiore sicurezza diffusa indipendentemente (in alcuni casi) dai comportamenti degli utenti, portando a un uso più responsabile degli strumenti quotidiani.
Il concetto di security by design non è nuovo in campo informatico, e nel corso degli anni si sono sviluppate delle regole (spesso formalizzate in allegati, documenti o report) che possono tracciare un primo percorso per comprendere, in concreto, alcuni aspetti più “immediati” di questo approccio tecnologico.
La security è oggi implementata, innanzitutto, nei seguenti ambiti: la crittografia, i sistemi di autenticazione, la ridondanza dei dati, la protezione dal malware e il condizionamento di alcuni comportamenti per evitare che si rivelino sbagliati e, quindi, insicuri.

Crittografia
L’implementazione della crittografia è stato probabilmente il passo più importante per far sì che si migrasse da un mondo di dati in chiaro, perfettamente visibili in caso di furto, perdita o altro incidente, a un panorama fatto di dati offuscati e completamente inutili se non si è in possesso delle chiavi di decifratura. Tutti i dispositivi più comuni – smartphone, tablet, computer portatili – hanno pian piano introdotto, all’interno dei loro sistemi operativi, la possibilità di cifrare le informazioni. Ciò ha generato un aumento diffuso di sicurezza con modalità per molti versi trasparenti all’utente non esperto, soprattutto quando i sistemi di cifratura sono collegati al sistema di autenticazione, o PIN, del dispositivo portatile.

Sistemi di autenticazione
Con riferimento, poi, alla security by design nel sistemi di autenticazione, ossia nel momento in cui l’utente può accedere al dispositivo, si sono registrate tre tendenze molto interessanti: il superamento del PIN nei dispositivi portatili, il ritorno al PIN sui computer e l’evoluzione dei sistemi biometrici. Il primo punto è semplice da comprendere: security by design vuole anche dire aumentare il livello di sicurezza “in ingresso” portando gli utenti a sostituire un PIN di 4 cifre con un codice più complesso, di sei o più caratteri, che aumenti la sicurezza e che sia meno facilmente prevedibile. Al contrario, nell’uso quotidiano del computer alcuni sistemi operativi stanno permettendo all’utente di autenticarsi non più con una password ma, per maggiore rapidità e comodità, con un PIN. Infine, il sistema di riconoscimento biometrico, soprattutto dell’improntadigitale o dell’iride, sta aumentando a sua volta la sicurezza anche in ambito domestico. In questo caso, si è visto diventare “popolare”, in un’ottica di sicurezza, un sistema di riconoscimento e autenticazione sinora utilizzato in contesti critici.

Piano di backup e protezione dal malware
La security by design deve anche prendere in considerazione la possibilità che il dato possa andare perduto, garantendo – o, meglio, suggerendo – una costante ridondanza delle informazioni. Tutti i sistemi operativi (anche sugli smartphone) consentono oggi di impostare un efficiente piano di backup di tutti i dati che sia trasparente all’utente, ossia che non richieda ogni volta azioni specifiche che potrebbero, sul lungo periodo, dissuadere l’utente. La ridondanza dei dati oggi mette al sicuro sia da danni accidentali (smarrimento del dispositivo, rottura di un disco), sia da attacchi informatici veri e propri sia, infine, dall’attacco del più comune tipo di malware circolante, il ransomware, che “sequestra” i dati cifrandoli e domandando un riscatto.

Funzione di moral suasion
Infine, non meno importante, la security by design ha anche una funzione, in alcuni casi, di moral suasion: induce nell’utente alcuni comportamenti che sono sicuri dissuadendo, allo stesso tempo, dal tenerne altri. Si pensi, ad esempio, al sistema che impedisce l’utilizzo di una determinata password perché ritenuta insicura (obbligando quindi l’utente a sceglierne una più complessa), a una funzione che evidenzia con un led l’attivazione di una webcam per impedire riprese di nascosto, alla richiesta o comunicazione esplicita dell’attivazione di un sistema di geolocalizzazione (ad esempio il GPS) che potrebbe tracciare l’utente o, infine, a un obbligo di attivare connessioni sicure verso un sito (“obbligando a una connessione https”) o verso un dispositivo che contiene dati sensibili (come un braccialetto che monitora il fitness e l’attività corporea).

Considerazioni conclusive
Il concetto di security by design diventa tanto più sofisticato quanto più si evolvono i dispositivi , soprattutto, quanto più è il tempo che l’utente passa online o connesso ai dispositivi, spostando continuamente il suo patrimonio di dati in un contesto digitale.



Torna ai contenuti